企业可以将自己的统一帐号登录系统（Identity Provider，以下称 IdP）集成至法大大（Service Provider，以下称 SP），实现使用企业内部员工帐号登录法大大。

目前支持基于 SAML 2.0协议的IdP集成，包括：

• Azure Active Directory

• Okta

• 阿里云IDaaS

• 其他自定义身份源

准备工作

开始配置

第一步：访问 IdP系统 ，新建SAML应用

1. 在IdP中添加SAML应用 “ 法大大企业SSO（示例）” 

2. SAML应用添加成功后，查看应用配置信息：

   1. IdP 唯一标识（IdP Entity ID）： ../saml2/meta（示例）

   2. IdP SSO地址（IdP Sign-in URL）： ../saml2/sso（示例）

   3. 公钥证书（Certificate）： MIIaux..o2NWV（示例）

第二步：访问法大大，配置上述SAML应用信息

1. 访问 https://cloud.fadada.com/work，进入企业设置 - 集成管理 - 单点登录

2. 新增配置，并配置上述SAML应用参数：

   

   1. 配置方式：手动填写配置参数（推荐），或直接上传IdP应用中的metadata

   2. IdP SSO地址：../saml2/sso（IdP 示例1）

   3. IdP 公钥：MIIaux..o2NWV（IdP 示例2 ）

   4. IdP Entity ID：../saml2/meta（IdP 示例3）

   5. SAML 加密算法：SHA-1、SHA-256（推荐）、SHA-512

3. 点击保存，查看生成的SP信息：

   

   1. 法大大登录地址：https://cloud.fadada.com/.../sso/xxxxxxxxxx（法大大示例1）

   2. SP回调地址：https://cloud.fadada.com/.../sso/xxxxxx/callback（法大大示例2）

   3. SP Entity ID：https://cloud.fadada.com/.../sso/saml/x/sp-meta（法大大示例3）

第三步：访问IdP系统，将上述SP信息配置到SAML应用中

1. 配置SAML应用 “ 法大大企业SSO（示例）” 并保存：

   1. 单点登录地址（ACS URL）：

      https://cloud.fadada.com/.../sso/xxxxx/callback（法大大示例2）

   2. 应用唯一标识（SP Entity ID）：

      https://cloud.fadada.com/.../sso/saml/xxx/sp-meta（法大大示例3）

   3. 应用账户（Name ID）：自定义或应用账户（建议）

   4. 授权范围：自定义或全员可访问（建议）

2. 启用SAML应用 “ 法大大企业SSO（示例）” 

第四步：访问法大大，进入企业设置 - 集成管理 - 单点登录，

确保你（操作人）的成员ID与IdP的账户一致后，启用单点登录配置

SSO登录

成员管理

1. 访问IdP系统，创建并管理账户，账户会自动同步至法大大。

   💡  法大大成员标识唯一匹配IdP内的成员账户ID

2. 访问法大大，进入企业设置 - 组织管理 - 成员与部门，邀请对应的成员加入以完成实名认证。

成员登录

1、从其他系统跳转登录法大大

访问法大大登录地址：

https://cloud.fadada.com/.../sso/xxxxxxxxx（法大大示例1） 登录。

2、（或）访问法大大登录

访问法大大官网：https://cloud.fadada.com/work，选择「SSO登录」，输入企业的法大大号登录。如何查看企业的法大大号？

常见问题

Q：可以同时开启几个身份源？

A：目前仅支持同一时间开启一个身份源，如需使用新的身份源，需停用原有的身份源。

Q：为什么开启单点登录后，无法添加成员？

A：开启SSO后，为保证成员顺利登录，仅支持从IdP后台添加新成员，无法通过企业链接邀请、手动添加、批量导入等方式添加新成员，同时不允许外部用户申请加入企业。

Q：为什么成员通过IdP同步至法大大后，还需要邀请指定成员加入？

A：电子签章环节，需要用户进行实名认证，需要将企业的成员身份与其个人用户身份绑定。

Q：成员登录报错了怎么排查？

A：请联系超级管理员或有组织管理权限的管理员，确认IdP内的成员账户ID与法大大成员ID一致。